01Kernaussagen

  1. 01

    Der Air Gap war nie eine Stilfrage. Er sollte Erreichbarkeit physisch unmöglich machen, wenn die Kompromittierung eines Systems nicht akzeptabel wäre.

  2. 02

    Permanente Isolation funktioniert in wenigen Spezialumgebungen. Die meisten Organisationen brauchen heute kurze, kontrollierte Fenster für Backup, Wartung, Updates und Evidenz.

  3. 03

    Ein kontrollierter Air Gap macht Konnektivität von einem Dauerzustand zu einem expliziten Ereignis: für einen Zweck geöffnet, standardmäßig geschlossen und als Betriebsnachweis dokumentiert.

  4. 04

    Der entscheidende Schritt ist nicht ein weiterer Filter. Entscheidend ist eine hardwareseitige Trennung, die out of band gesteuert wird, sodass der geschützte Datenpfad sich nicht selbst wieder öffnen kann.

02Der alte Air Gap löste ein echtes Problem

Über Jahrzehnte bedeutete Air Gap vor allem eines: kein Netzwerkpfad. In militärischen Systemen, klassifizierter Forschung, industrieller Steuerung und besonders sensiblen SCADA-Umgebungen war diese Regel sinnvoll. Was aus einem feindlichen Netz nicht erreichbar ist, kann von dort nicht remote ausgenutzt werden.

Dieses Prinzip ist weiterhin richtig. Schwierig ist nur, dass moderner Betrieb nicht mehr auf permanente Trennung ausgelegt ist. Backups müssen laufen. Hersteller benötigen geplanten Zugriff. Firmware muss aktualisiert werden. Monitoring-Teams brauchen Nachweise. Die Frage lautet daher nicht, ob Isolation wichtig ist. Die Frage lautet, wie Isolation nutzbar bleibt, ohne daraus permanente Exposition zu machen.

Der moderne Air Gap gibt Isolation nicht auf. Er macht sie betriebsfähig.

03Warum permanente Isolation nicht mehr skaliert

Ein kontrollierter Air Gap behält das klassische Prinzip bei: Wenn ein geschütztes Asset nicht online sein muss, sollte kein erreichbarer Pfad existieren. Was sich ändert, ist das Betriebsmodell. Statt anzunehmen, dass ein Asset für immer offline bleibt, definiert die Organisation, wann ein Pfad existieren darf und wer ihn öffnen kann.

Damit unterscheidet sich der moderne Air Gap von drei vertrauten Kontrollen:

Firewall-Regel
eine Software-Entscheidung auf einem gerouteten Pfad, der weiterhin vorhanden ist. Nützlich, aber abhängig von Konfiguration und Integrität der Management-Ebene.
VPN-Zugriff
ein authentifizierter Tunnel für Benutzer oder Dienstleister. In manchen Abläufen notwendig, aber weiterhin eine aktive Remote-Access-Fläche.
Segmentierung
eine Methode, Pfade im Netzwerk zu verengen. Wertvoll, aber nicht dasselbe wie das Entfernen des physischen Pfads, wenn das Asset inaktiv ist.

Ein kontrollierter Air Gap ist strenger. Er sagt: Der sicherste Pfad ist derjenige, der nur während eines definierten Betriebsfensters vorhanden ist.

04Zeit ist die fehlende Kontrollfläche

Die Verschiebung wird klar, wenn man Cyberrisiko über Zeit betrachtet:

ERREICHBARES RISIKO ∝ ASSET-WERT × ANGRIFFSFLÄCHE × EXPOSITIONSZEIT

Klassische Air Gaps wollten die Expositionszeit auf null drücken. Always-on-Architekturen treiben sie auf 168 Stunden pro Woche. Ein zeitbasierter Air Gap liegt zwischen diesen Extremen. Er akzeptiert, dass manche Workflows Konnektivität benötigen, und macht dann deren Dauer zur gesteuerten Variable.

Das ist wichtig, weil die meisten Kompromittierungswege nicht filmreif sind. Sie sind opportunistisch, automatisiert und geduldig. Ein Backup-Ziel, ein Kamerasegment oder ein Management-Interface, das rund um die Uhr erreichbar ist, ist genau dann verfügbar, wenn Scanner, gestohlene Zugangsdaten oder laterale Bewegung es erreichen.

Ist dasselbe Asset nur in einem vierstündigen Wartungs- oder Backup-Fenster erreichbar, muss ein Angreifer dieses Fenster treffen. Die Kontrolle verspricht keine Unverwundbarkeit. Sie entfernt den dauerhaft verfügbaren Pfad, von dem viele Angriffe abhängen.

05Drei Verschiebungen hinter dem modernen Air Gap

01

Von permanenter Isolation zu geplanter Erreichbarkeit

Die erste Verschiebung besteht darin, anzuerkennen, dass manche isolierte Assets periodischen Kontakt benötigen. Ein Repository braucht vielleicht ein nächtliches Backup-Fenster. Ein Produktionsgerät braucht einen Herstellertermin. Eine Laborumgebung braucht wöchentliche Updates. Die Sicherheitsfrage lautet: Kann der Pfad nur während dieser Aufgabe existieren statt den ganzen Tag?

02

Von Vertrauen in Konfiguration zu Vertrauen in Zustand

Eine Firewall-Regel sagt, dass Verkehr nicht passieren soll. Eine physische Trennung sagt, dass der Pfad nicht vorhanden ist. Dieser Unterschied zählt bei Fehlkonfiguration, gestohlenen Zugangsdaten oder kompromittierten Management-Systemen. Der moderne Air Gap gibt Operatoren einen einfachen Zustand: verbunden aus genehmigtem Grund oder standardmäßig getrennt.

03

Vom Notfall-Workaround zum auditierten Workflow

Die schlechtesten Air Gaps scheitern sozial. Jemand braucht Zugriff, also taucht ein Kabel auf, eine Regel bleibt offen oder eine temporäre Brücke wird dauerhaft. Ein kontrollierter Air Gap macht die Ausnahme sichtbar. Er gibt der Organisation einen Standardprozess zum Öffnen, Schließen und Dokumentieren des Pfads.

06Warum reine Software-Kontrollen nicht dasselbe sind

Software-Kontrollen bleiben notwendig. Sie authentifizieren Benutzer, filtern Verkehr, inspizieren Sitzungen und erzeugen Logs. Sie haben aber nicht denselben Fehlerzustand wie eine physische Trennung. Eine Software-Kontrolle kann durch Software geändert, über Software administriert und manchmal durch Software umgangen werden.

Konfigurationsdrift
Regeln sammeln sich an, Ausnahmen bleiben offen und temporärer Zugriff wird zum Normalzustand.
Gemeinsames Schicksal
Liegt die Control-Plane im selben Netz wie das Asset, kann eine Kompromittierung sowohl das Ziel als auch den Schutzmechanismus betreffen.
Zugangsdaten-Exposition
VPNs und Admin-Portale verschieben das Problem auf Identität. Das hilft, aber gestohlene Zugangsdaten können weiterhin einen Live-Pfad öffnen.
Abhängigkeit von Detection
Monitoring kann zeigen, dass etwas passiert ist. Es garantiert nicht, dass der Pfad davor nicht vorhanden war.

Es geht nicht darum, diese Kontrollen zu ersetzen. Es geht darum, ihnen ein kleineres Zeitfenster zu geben, das sie verteidigen müssen.

07Hardware-erzwungene Trennung über Out-of-Band-Steuerung

Ein moderner kontrollierter Air Gap braucht zwei Eigenschaften. Erstens wird der geschützte Ethernet-Pfad hardwareseitig geöffnet oder geschlossen. Zweitens ist der Steuerpfad für diese Trennung out of band, sodass das geschützte Datennetz dem Gerät nicht selbst den Reconnect befehlen kann.

An dieser Stelle positionieren Produkte wie AGN1 die Air-Gap-Idee neu. Sie verlangen nicht, dass jede Organisation ein Betriebsmodell für klassifizierte Netze einführt. Sie machen eine physische Trennung für normale Assets nutzbar, die nur zeitweise erreichbar sein müssen.

Zeitplan
den Pfad während eines definierten Backup-, Update- oder Prüfungsfensters öffnen.
Auf Anforderung
wieder verbinden, wenn ein autorisierter Operator eine Aufgabe freigibt.
Job-gekoppeltes Schließen
erneut trennen, sobald der operative Grund endet.
Evidenz
festhalten, dass das Fenster geöffnet und geschlossen wurde.

Das Ergebnis ist keine mystische Sicherheitszone. Es ist ein kleineres, disziplinierteres Angriffsfenster, gestützt durch eine physische Zustandsänderung.

Wenn das Datennetz seine eigene Isolation wieder öffnen kann, ist die Isolation nur Policy. Wenn es das nicht kann, wird die Kontrolle zur Grenze.

08Wo kontrollierte Air Gaps passen

Kandidaten für zeitbasierte Trennung

Die besten Kandidaten sind wertvolle Assets mit kurzen, planbaren Konnektivitätsfenstern.

Asset-KlasseLegitimer Online-BedarfTypischer DefaultEntfernte Exposition
Backup-Repository 2–6 h/Tag (Backup-Fenster) 24 h/Tag 88%
ILO / iDRAC / BMC < 2 h/Monat Wartung 24/7 99%
Vendor-Fernwartung Geplante Service-Termine Always-on VPN 99%
IP-Kameras (Arbeitsplatz) Nur Geschäftszeiten 24/7 65%
Gebäudeautomation / IoT Nur Geschäftszeiten 24/7 65%
Dev- & Test-Umgebungen Nur Geschäftszeiten 24/7 65%

09Ein praktisches Deployment-Muster

Ein kontrollierter Air Gap beginnt mit dem Betriebskalender, nicht mit einem Gerät. Bevor Hardware in den Pfad gesetzt wird, muss klar sein, wann der Pfad benötigt wird und welche Evidenz beweist, dass er wieder geschlossen wurde.

  1. Asset auswählen

    Starten Sie mit einem Repository, Management-Interface, Kamerasegment oder herstellergewarteten Gerät, dessen Kompromittierung teuer wäre.

  2. Fenster definieren

    Schreiben Sie das kleinste vertretbare Verbindungsfenster für Backup, Wartung, Update oder Prüfung fest.

  3. Owner benennen

    Machen Sie ein Team verantwortlich für Reconnect-Freigaben und das Schließen des Pfads nach der Aufgabe.

  4. Trennung platzieren

    Setzen Sie die physische Trennung an den Punkt, an dem sie Erreichbarkeit entfernt, ohne unbeteiligten Verkehr zu stören.

  5. Zustandswechsel protokollieren

    Halten Sie jedes Öffnen und Schließen fest, damit Security und Audit den Workflow prüfen können.

Die einfachsten Deployments sind oft die stärksten. Eine Asset-Klasse, ein Fenster, ein Owner, ein Nachweis, dass der Pfad außerhalb des Fensters geschlossen ist.

10Drei häufige Einwände

Ist das nur ein besonders benannter Schalter?

Nein. Die relevante Einheit ist nicht Strom, sondern Netzwerk-Erreichbarkeit. Ein kontrollierter Air Gap lässt das Asset laufen und entfernt den Pfad, über den Angreifer es erreichen würden.

Bricht das den Betrieb?

Es gehört nicht dorthin, wo kontinuierliche Konnektivität wirklich erforderlich ist. Es gehört dorthin, wo das Geschäft ein legitimes Fenster benennen kann und geschlossen als Standard die sicherere Ausgangslage ist.

Ersetzt das Patching und Monitoring?

Nein. Es ergänzt sie. Patching reduziert Verwundbarkeit, Monitoring verbessert Reaktion und zeitbasierte Trennung reduziert den Zeitraum, in dem beide perfekt sein müssen.

11Schlussgedanke

Der Air Gap wurde nicht überholt, weil das Prinzip falsch war. Er wurde schwer nutzbar, weil sich Betrieb schneller verändert hat als das Kontrollmodell.

Die Neuerfindung ist nüchtern und praktisch: physische Grenze behalten, zeitbasiert machen, out of band steuern und jeden Reconnect als Ereignis mit Grund behandeln. So bekommen moderne Teams den Teil des Air Gaps zurück, der am wichtigsten bleibt: weniger Stunden, in denen das geschützte Asset überhaupt erreichbar ist.

Vom Prinzip zur Betriebskontrolle

Machen Sie den Air Gap nutzbar, ohne ihn permanent machen zu müssen.

AGN1 bringt eine hardware-erzwungene Ethernet-Trennung in normale Betriebsabläufe: Backups, Wartung, Updates und kritische Geräte, die nur bei Bedarf online sein sollten.

AGN1 ansehen Toolkit öffnen

Verwandte Artikel

Der begleitende Artikel dieser Ausgabe. Das Expositionszeit-Problem: Warum 24/7-Konnektivität ein messbares Cybersicherheitsrisiko ist